forum.opennet.ru - "Поделитесь опытом построения сети" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Поделитесь опытом построения сети"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Поделитесь опытом построения сети"
Сообщение от fate (ok) on 19-Апр-07, 20:10
Всем доброго времени суток! Есть задача. Организовать связь между офисами, доступ в инет для локальных сетей офисов. Все офисы построены по единому принципу. В офисе есть локалка и используется MS ISA (обязательно). Как используя маршрутизатор (например 2811) и коммутатор третьего уровня (например 3560G) организовать связь данного офиса с подобными офисами (будут следубщие типы межофисных каналов: Frame-relay, выделенные каналы ethernet и IPSec тунели), предоставить доступ в инет для пользователей локалки в офисе и использовать ISA сервера как прокси в инет для пользователей? Подскажите какие схемы соединения маршрутизатора, коммутатора и ISA сервера лучше использовать. Опыта мало в деле интеграции работы оборудования Cisco и MS ISA сервера.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Поделитесь опытом построения сети, asto, 13:15 , 20-Апр-07, (1)

Поделитесь опытом построения сети, fate, 13:32 , 20-Апр-07, (2)

Поделитесь опытом построения сети, asto, 14:19 , 20-Апр-07, (3)

Поделитесь опытом построения сети, fate, 18:40 , 20-Апр-07, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Поделитесь опытом построения сети"

Сообщение от asto (??) on 20-Апр-07, 13:15

На мой взгляд, что должно быть реализовано обязательно:
1. Каналы от других филиалов терминируются все на одном устройстве (в случае конечно, если разделением не добиваемся резервирования)
2. Иса напрямую в интернет не выставляется :)
С учетом этих требований, есть два варианта:
1. Inet <-> 2851 <-> 3560 <-> ISA, пользователи и т.д.
Интернет включается во второй езернет порт маршрутизатора
На 2851 терминируются каналы из других офисов, в том числе IPSEC туннели.
На роутере access-list'ами запрещен доступ в интернет для всех, кроме исы (пользователи все равно через ису ходют).
2. Если второй интерфейс роутера нужен, то тогда так:
2851 <-> 3560 <-> ISA, пользователи и т.д.
           |
         Inet
Отдельный vlan под Интернет, трафик куда разрешен 1) от Исы 2) IPSEC от роутера.
Но лучше бы конечно роутер или свитч напрямую в интернет не выставлять (все-таки, магистраль сети, с безопасностью замучаетесь), а купить что-нибудь вроде простенького пикса. Он гораздо лучше подходит в качестве граничного устройства.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Поделитесь опытом построения сети"

Сообщение от fate (??) on 20-Апр-07, 13:32

>На мой взгляд, что должно быть реализовано обязательно:
>1. Каналы от других филиалов терминируются все на одном устройстве (в случае
>конечно, если разделением не добиваемся резервирования)
>2. Иса напрямую в интернет не выставляется :)
>
>С учетом этих требований, есть два варианта:
>1. Inet <-> 2851 <-> 3560 <-> ISA, пользователи и т.д.
>Интернет включается во второй езернет порт маршрутизатора
>На 2851 терминируются каналы из других офисов, в том числе IPSEC туннели.
>
>На роутере access-list'ами запрещен доступ в интернет для всех, кроме исы (пользователи
>все равно через ису ходют).
>
>2. Если второй интерфейс роутера нужен, то тогда так:
>2851 <-> 3560 <-> ISA, пользователи и т.д.
>           |
>
>         Inet
>Отдельный vlan под Интернет, трафик куда разрешен 1) от Исы 2) IPSEC
>от роутера.
>
>Но лучше бы конечно роутер или свитч напрямую в интернет не выставлять
>(все-таки, магистраль сети, с безопасностью замучаетесь), а купить что-нибудь вроде простенького
>пикса. Он гораздо лучше подходит в качестве граничного устройства.
Вот так сейчас и предполагается делать (первый вариант). PIX будет позже, пока нет "сил" на него. Тут такой вопрос, я не спец по ISA серверу. Наши админы хотят видить на ISA сервере кто куда и когда лазил и сколько трафика использовал (это касательно инета). Это возможно реализовать? Я думаю, что без проблем:). Сам я, конечно, хочу использовать netflow для анализа трафика, но пока нет возможности совершить революционный переход к данной технологии, поэтому надо использовать возможности ISA.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Поделитесь опытом построения сети"

Сообщение от asto (??) on 20-Апр-07, 14:19

Можно. Если пользователям прописать в настройках броузера ходить через проксю - ису, и на роутере закрыть весь трафик в интернет кроме исового, то:
1. Пользователи без исы в интернет не выйдут
2. В логах исы будет вся информация по трафику (кроме трафика, генерируемого IPSEC туннелями с роутера)
3. Зато на роутере при снятии статистики через  NetFlow будет показываться. что в интернет лазит только один хост - ваша иса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Поделитесь опытом построения сети"

Сообщение от fate (??) on 20-Апр-07, 18:40

>Можно. Если пользователям прописать в настройках броузера ходить через проксю - ису,
>и на роутере закрыть весь трафик в интернет кроме исового, то:
>
>1. Пользователи без исы в интернет не выйдут
>2. В логах исы будет вся информация по трафику (кроме трафика, генерируемого
>IPSEC туннелями с роутера)
>3. Зато на роутере при снятии статистики через  NetFlow будет показываться.
>что в интернет лазит только один хост - ваша иса.
Спасибо! Мысль ясна, будем пробовать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Поделитесь опытом построения сети"
Сообщение от asto (??) on 20-Апр-07, 13:15
На мой взгляд, что должно быть реализовано обязательно: 1. Каналы от других филиалов терминируются все на одном устройстве (в случае конечно, если разделением не добиваемся резервирования) 2. Иса напрямую в интернет не выставляется :) С учетом этих требований, есть два варианта: 1. Inet <-> 2851 <-> 3560 <-> ISA, пользователи и т.д. Интернет включается во второй езернет порт маршрутизатора На 2851 терминируются каналы из других офисов, в том числе IPSEC туннели. На роутере access-list'ами запрещен доступ в интернет для всех, кроме исы (пользователи все равно через ису ходют). 2. Если второй интерфейс роутера нужен, то тогда так: 2851 <-> 3560 <-> ISA, пользователи и т.д. \| Inet Отдельный vlan под Интернет, трафик куда разрешен 1) от Исы 2) IPSEC от роутера. Но лучше бы конечно роутер или свитч напрямую в интернет не выставлять (все-таки, магистраль сети, с безопасностью замучаетесь), а купить что-нибудь вроде простенького пикса. Он гораздо лучше подходит в качестве граничного устройства.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Поделитесь опытом построения сети"
	Сообщение от fate (??) on 20-Апр-07, 13:32
	>На мой взгляд, что должно быть реализовано обязательно: >1. Каналы от других филиалов терминируются все на одном устройстве (в случае >конечно, если разделением не добиваемся резервирования) >2. Иса напрямую в интернет не выставляется :) > >С учетом этих требований, есть два варианта: >1. Inet <-> 2851 <-> 3560 <-> ISA, пользователи и т.д. >Интернет включается во второй езернет порт маршрутизатора >На 2851 терминируются каналы из других офисов, в том числе IPSEC туннели. > >На роутере access-list'ами запрещен доступ в интернет для всех, кроме исы (пользователи >все равно через ису ходют). > >2. Если второй интерфейс роутера нужен, то тогда так: >2851 <-> 3560 <-> ISA, пользователи и т.д. > \| > > Inet >Отдельный vlan под Интернет, трафик куда разрешен 1) от Исы 2) IPSEC >от роутера. > >Но лучше бы конечно роутер или свитч напрямую в интернет не выставлять >(все-таки, магистраль сети, с безопасностью замучаетесь), а купить что-нибудь вроде простенького >пикса. Он гораздо лучше подходит в качестве граничного устройства. Вот так сейчас и предполагается делать (первый вариант). PIX будет позже, пока нет "сил" на него. Тут такой вопрос, я не спец по ISA серверу. Наши админы хотят видить на ISA сервере кто куда и когда лазил и сколько трафика использовал (это касательно инета). Это возможно реализовать? Я думаю, что без проблем:). Сам я, конечно, хочу использовать netflow для анализа трафика, но пока нет возможности совершить революционный переход к данной технологии, поэтому надо использовать возможности ISA.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Поделитесь опытом построения сети"
	Сообщение от asto (??) on 20-Апр-07, 14:19
	Можно. Если пользователям прописать в настройках броузера ходить через проксю - ису, и на роутере закрыть весь трафик в интернет кроме исового, то: 1. Пользователи без исы в интернет не выйдут 2. В логах исы будет вся информация по трафику (кроме трафика, генерируемого IPSEC туннелями с роутера) 3. Зато на роутере при снятии статистики через NetFlow будет показываться. что в интернет лазит только один хост - ваша иса.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Поделитесь опытом построения сети"
	Сообщение от fate (??) on 20-Апр-07, 18:40
	>Можно. Если пользователям прописать в настройках броузера ходить через проксю - ису, >и на роутере закрыть весь трафик в интернет кроме исового, то: > >1. Пользователи без исы в интернет не выйдут >2. В логах исы будет вся информация по трафику (кроме трафика, генерируемого >IPSEC туннелями с роутера) >3. Зато на роутере при снятии статистики через NetFlow будет показываться. >что в интернет лазит только один хост - ваша иса. Спасибо! Мысль ясна, будем пробовать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]